{"id":17288,"date":"2020-10-13T11:56:00","date_gmt":"2020-10-13T09:56:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17288"},"modified":"2020-10-06T12:13:46","modified_gmt":"2020-10-06T10:13:46","slug":"kody-kinzie-ueber-die-in-unternehmen-sechs-am-meisten-auftretenden-sicherheitsfehler","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17288","title":{"rendered":"Kody Kinzie \u00fcber die in Unternehmen sechs am meisten auftretenden Sicherheitsfehler"},"content":{"rendered":"\n<p>Praktisch jede Woche gibt es neue Reports und Studien zum Thema \u201cTrends in der IT-Sicherheit\u201d. Wie sieht es aber in der Praxis aus? Welche Fehler werden im t\u00e4glichen Einsatz am h\u00e4ufigsten gemacht? Kody Kinzie, Whitehat-Hacker, beschreibt hier die zur Zeit verbreitetsten IT-Security-Probleme in Unternehmensumgebungen.&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"1024\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-1024x1024.png\" alt=\"\" class=\"wp-image-17289\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-1024x1024.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-300x300.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-150x150.png 150w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-768x768.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o-1536x1536.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/10\/50425761633_8e97fbf492_o.png 1709w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>Kody Kinzie (Bild: Varonis)<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p><strong>Es kommen L\u00f6sungen und Ger\u00e4te zum Einsatz, die nicht richtig verstanden worden sind<\/strong><\/p>\n\n\n\n<p>Die Sicherheitsexperten von Varonis Systems sehen gerade in der j\u00fcngsten Zeit vermehrt Probleme durch den Einsatz von Produkten und L\u00f6sungen, bei denen die Auswirkungen auf die Sicherheit von den Anwendern nicht (komplett) erkannt und verstanden werden. So berichtet Kody Kinzie von einem k\u00fcrzlichen Arztbesuch, bei dem er im Wartezimmer auf eine ungesch\u00fctzte \u00dcberwachungskamera gesto\u00dfen ist: \u201eAuf meinem Telefon bemerkte ich, dass hier eine Kamera eines bekannten Herstellers installiert ist, die \u00fcber ein offenes WiFi-Netz verf\u00fcgte. Ich lud die entsprechende App herunter und wurde sofort mit der Kamera verbunden. Diese \u00fcbertrug aus einem anderen Zimmer der Praxis \u2013 auch private Gesundheitsinformationen und Diagnosen!\u201c Offensichtlich hat das Praxisteam nicht bedacht, dass es sich um ein smartes Device handelt und es einfach wie eine klassische \u00dcberwachungskamera angeschlossen. \u201eEs gibt bei diesen intelligenten Ger\u00e4ten eine Menge Funktionen, die das Praxisteam (wie auch viele andere Anwender) nicht nutzen. Und weil dies ihnen offensichtlich nicht ausreichend klargemacht wurde, haben sie einfach das Ger\u00e4t so eingerichtet, dass jeder in der N\u00e4he darauf zugreifen und es konfigurieren kann.\u201c \u00c4hnliches gilt auch f\u00fcr Router und andere (insbesondere vorkonfigurierte) Ger\u00e4te, die in Unternehmen eingesetzt werden, weil sie zus\u00e4tzliche Funktionen versprechen, die jedoch auch verwund- und angreifbar sind, wenn sie nicht richtig verstanden werden.&nbsp;<\/p>\n\n\n\n<p><strong>Unternehmen erkennen die potenziellen Auswirkungen von IoT-Devices nicht<\/strong><\/p>\n\n\n\n<p>IoT-Ger\u00e4te werden immer h\u00e4ufiger auch von kleineren Unternehmen eingesetzt, beispielsweise zur Zahlungsabwicklung. Bei dem Audit f\u00fcr eine gro\u00dfe Veranstaltungs-Location erkannte Kinzie, dass das Zahlungssystem an das G\u00e4stenetzwerk angeschlossen wurde, dessen Passwort oft geteilt wurde. Auf seine Frage, ob das vom Betreiber nicht als problematisch angesehen w\u00fcrde, antwortete dieser, dass dies ja egal sei, da der Zahlungsdatenverkehr ja verschl\u00fcsselt sei. Mit seinem Android-Phone war Kinzie in der Lage, die ausgehenden Verbindungen zu unterbrechen, wodurch keine Zahlungstransaktionen mehr durchgef\u00fchrt werden konnten. \u201eOft sind es Probleme, an die man gar nicht denkt, die einen am h\u00e4rtesten treffen. Eine Datenpanne ist sicherlich schlimm, aber enorme Umsatzeinbu\u00dfen, weil man nichts mehr verkaufen kann, k\u00f6nnen bei Unternehmen wie Veranstaltern oder H\u00e4ndlern mindestens genauso verheerende Sch\u00e4den verursachen.\u201c<\/p>\n\n\n\n<p><strong>Unternehmen nutzen und erlauben schlechte Passw\u00f6rter&nbsp;<\/strong><\/p>\n\n\n\n<p>Neben einer mangelnden Netzwerk-Segmentierung (insbesondere bei \u00f6ffentlich zug\u00e4nglichen WiFi-Netzwerken) und dem oft vernachl\u00e4ssigten Einsatz von VPNs, sieht Kinzie besonders bei Passw\u00f6rtern gro\u00dfe Defizite. Hierbei kommt es weniger auf die Komplexit\u00e4t, sondern eher auf die L\u00e4nge an. Ebenso sollten Passw\u00f6rter keinesfalls f\u00fcr verschiedene Dienste genutzt werden. Wurde ein (theoretisch) sicheres Passwort bei einer Datenschutzverletzung geleakt, k\u00f6nnen Cyberkriminelle so gleich auf s\u00e4mtliche Ressourcen zugreifen. F\u00fcr alle Privat- und Gesch\u00e4ftsanwender empfiehlt er deshalb dringend Passwort-Manager, welche die Erstellung, Verwaltung und Rotation von Passw\u00f6rtern wesentlich vereinfachen und einen oftmals auch warnen, wenn ein verwendetes Passwort in einer Liste mit geleakten Passw\u00f6rtern auftaucht.<\/p>\n\n\n\n<p><strong>Unternehmen verwenden keine Zwei-\/Multi-Faktor-Authentifizierung<\/strong><\/p>\n\n\n\n<p>Um die Sicherheit der Konten weiter zu verbessern, sollten Unternehmen eine Multi-Faktor-Authentifizierung einf\u00fchren. \u201eEiner meiner fr\u00fcheren Kunden erz\u00e4hlte mir vor ein paar Jahren eine Geschichte, die ich so auch noch nie erlebt habe: \u201aAb und zu haben wir diesen Typen in unserem System, der unsere Passw\u00f6rter kennt, aber wir wissen nicht, wie er sie bekommen hat.\u2018 Es lag wohl daran, dass sie alle ihre Passw\u00f6rter geteilt haben. Dieser Angreifer versuchte alle paar Monate auf recht plumpe Art und Weise einen Phishing-Angriff beziehungsweise CEO-Fraud. Die Reaktion war meistens \u201aAch, da ist dieser Typ schon wieder\u2018. Die Mitarbeiter betrachteten die ganze Situation eher als eine lustige Anekdote und hatten fast schon Mitleid mit dem Angreifer, der aus seinem Zugriff einfach kein Kapital schlagen konnte. Die Priorit\u00e4t bei dem Unternehmen lag ganz klar auf ihrem Kerngesch\u00e4ft und es standen keine Ressourcen zur Verf\u00fcgung, um diese l\u00e4stige, aber insgesamt ungef\u00e4hrliche Situation zu beenden. Dabei w\u00e4re dies mit einer 2-Faktor-Authentifizierung sehr leicht m\u00f6glich gewesen. Auf diese Weise l\u00e4sst sich sicherstellen, dass selbst wenn das Passwort in die H\u00e4nde eines Cyberkriminellen ger\u00e4t, dieser nicht auf das entsprechende Konto zugreifen kann, da er keinen Zugang zu dem verbundenen Mobiltelefon oder der Authentifizierungs-App hat.\u201c&nbsp; Nat\u00fcrlich garantiert auch eine Multi-Faktor-Authentifizierung keine hundertprozentige Sicherheit, aber es geht bei allen Sicherheitsma\u00dfnahmen vor allem darum, f\u00fcr Angreifer ein m\u00f6glichst schwieriges Ziel zu sein.&nbsp;<\/p>\n\n\n\n<p><strong>Unternehmen vernachl\u00e4ssigen den physischen Schutz<\/strong><\/p>\n\n\n\n<p>Auch Unternehmen, die viel in ihre IT-Sicherheit investieren, \u00fcbersehen oftmals den physischen Schutz. So bieten beispielsweise USB-Ports an Monitoren in Wartezimmern oder offene Ethernet-Ports potenzielle Einfallt\u00fcren f\u00fcr Angreifer. \u201eUnternehmen sollten die Perspektive eines Au\u00dfenstehenden einnehmen und untersuchen, auf welche Bereiche des Unternehmens man entweder aus der Ferne \u00fcber WiFi oder physisch (in einem Warteraum oder \u00fcber die Verkabelung) zugreifen kann. Genau dies ist der Punkt, bei dem viele Unternehmen ihre ganzen Sicherheitsanstrengungen vermasseln: Sie errichten einen sicheren Perimeter, lassen aber ein gigantisches Loch durch mangelnden physischen Schutz, das sofort die Aufmerksamkeit von Angreifern auf sich zieht.\u201c<\/p>\n\n\n\n<p><strong>Unternehmen setzen den Least-Privilege-Ansatz nicht um<\/strong><\/p>\n\n\n\n<p>\u201eIch habe fr\u00fcher f\u00fcr eine gro\u00dfe Firma gearbeitet, die sehr paranoid in Bezug auf die Teilnahme an bestimmten \u201avertraulichen\u2018 Meetings war. Aber gleichzeitig hatten alle Mitarbeiter Zugriff auf das Google-Laufwerk, auf dem in Echtzeit das Protokoll dieser geheimen Sitzungen gespeichert wurde. Viele Unternehmen spielen eine Art Sicherheitstheater, aber wenn es um Least-Privilege geht, scheitern sie.\u201c Die Frage, wer Zugriff auf welche Dateien hat, ist aus Sicherheitssicht entscheidend. Durch den Fehler eines einzigen Mitarbeiters, der etwa auf eine Phishing-Mail hereinf\u00e4llt, kann enormer Schaden entstehen, da der Angreifer auf die gleichen Dateien zugreifen kann wie der legitime Nutzer. Und je mehr (insbesondere sensible) Dateien dies sind, umso gr\u00f6\u00dfer sind die potenziellen Auswirkungen. Deshalb m\u00fcssen Unternehmen genau pr\u00fcfen, wer wirklich Zugriff auf welche Ressourcen ben\u00f6tigt, und nur diesen Zugriff erlauben.<\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"http:\/\/www.varonis.de\">www.varonis.de<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Praktisch jede Woche gibt es neue Reports und Studien zum Thema \u201cTrends in der IT-Sicherheit\u201d. Wie sieht es aber in der Praxis aus? Welche Fehler werden im t\u00e4glichen Einsatz am h\u00e4ufigsten gemacht? Kody Kinzie, Whitehat-Hacker, beschreibt hier die zur Zeit verbreitetsten IT-Security-Probleme in Unternehmensumgebungen. <\/p>\n","protected":false},"author":1,"featured_media":17289,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[7302,3388,3764,14166,11336,3753,14167,10061,14168],"class_list":["post-17288","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-2fa","tag-hacker","tag-iot","tag-kody-kinzie","tag-least-privilege","tag-passwort","tag-sicherheitsfehler","tag-varonis","tag-white-hat"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17288","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17288"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17288\/revisions"}],"predecessor-version":[{"id":17294,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17288\/revisions\/17294"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17289"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17288"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17288"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17288"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}